Die Abwehr von Cryptotrojanern (Ransomware) ist heute vorrangig Aufgabe von Endpoint-Sicherheitslösungen. Kommt es aber zum Befall mit Ransomware, sind schnell auch angebundene Storage-Systeme betroffen. Der Netapp-Partner Cleondris aus der Schweiz will bösartiger Datenverschlüsselung deshalb nun mit einem Add-on zu den Netapp-Speichersystemen Data Ontap 7/8/9 entgegentreten.

Unerwünschtes Verschlüsseln von Dateien kann in Unternehmen erheblichen Schaden anrichten – selbst in Fällen, in denen die Daten durch Lösegeldzahlung wiederherzustellen sind. Cleondris-Experten warnen zudem vor künftigen Ransomware-Tools, die neben der reinen Datei- oder auch Geräteverschlüsselung andere bösartige Aktionen vornehmen, so etwa die willkürliche Veränderung von Ordnerstrukturen, der Upload interner Daten auf externe Server oder auch die nur teilweise Verschlüsselung von Dateien (zum Beispiel nur die Bilder innerhalb eines Word-Dokuments). Solche Angriffe könnten dann auch schleichend erfolgen (sogenannte „Low and Slow“-Angriffe), über Wochen und Monate unentdeckt bleiben und somit den Rückgriff auf nicht korrumpierte Backups erschweren.

Netapp Ontap bietet diverse Funktionen, um Daten nach einem Ransomware-Befall wiederherzustellen:

  • Snapshots (stündliche Backups für Restores),
  • Snaprestore (schnelle Rücksetzung ganzer Volumes),
  • Flexclone (neues Dateisystem von einem Snapshot),
  • Single-File Clone (Wiederherstellung einzelner Dateien),
  • Snapdiff (schnelles Auffinden veränderter Dateien) sowie
  • Fpolicies (Überwachen und Blockieren von Dateioperationen).

Cleondris Snapguard nutzt das native Richtlinien-Management von Data Ontap („Fpolicies“), um das Überschreiben von Dateien durch solche mit unerwünschter Dateierweiterungen, wie Ransomware sie anlegt (.locky, .odin etc.), zu sperren. Die Verwaltung dieser Fpolicies, so Cleondris, sei über die Ontap-Kommandozeile aber recht komplex. Hier biete nun Snapguard eine Erweiterung mit grafischem Interface, um für besseren Überblick zu sorgen und die Abwehr von Ransomware zu erleichtern.

Cleondris Snapguard erleichtert die Einrichtung von Fpolicies zum Schutz von Netapp-Data-Ontap-Systemen vor Malware einschließlich Testbetrieb vor Scharfschaltung. Bild: Cleondris

Dank Snapguards Fpolicy Activity Monitor können Administratoren ihre Richtlinien vor Freischaltung auf dem Live-System gefahrlos testen, so Cleondris. Die Auswirkungen der Richtlinien würden dabei analysiert und in einem Bericht zusammengefasst, sodass die IT nach dem Scharfschalten einer Fpolicy keine bösen Überraschungen erlebe.

Die Aktivitäten von CIFS- und NFS-Clients lassen sich mit Snapguard in Echtzeit mitverfolgen, so der Hersteller. Dadurch wisse ein Administrator stets über alle laufenden Operationen auf einem Netapp-Volume Bescheid. Snapguard erlaube der IT dabei, Requests für Veränderungen an Dateien in einer Live-Ansicht zu betrachten. So könne man den Zugriff mit einem Klick sperren, sobald ein Client verdächtiges Verhalten an den Tag legt – im Fall von Ransomware ebenso wie bei Übergriffen eines Innentäters. Neben der manuellen Sperrung soll es in Kürze auch einen Automatismus für solche Fälle geben. Sollte ein Volume bereits durch Ransomware infiziert sein, sorge ein integriertes Analyse-Tool für den schnellen Überblick über alle genutzten Dateierweiterungen, um den Restore zu erleichtern.

Snapguard ermöglicht die Live-Überwachung der Client-Aktionen auf einem Netapp-Volume. Bild: Cleondris

Snapguard kommuniziere innerhalb eines sicheren Management-Netzwerks per Netapp ZAPI, Fpolicy- und Snapdiff-API mit den Knoten und dem Vserver des Cluster-Administrators. Dadurch benötige zum Beispiel ein Service-Provider keinen Zugriff auf das Netzwerk-Interface eines Kunden-Servers.

Snapguard gibt es in den Versionen LE sowie – derzeit noch im Betastadium – EE. Snapguard LE ist ein bereits erhältliches Windows-Tool mit lokaler Windows-GUI und manueller Blockierung von Angriffen. Snapguard EE ist eine Software-Appliance (OVA) mit Web-Interface, die aktiven Schutz, automatisches Blockieren und Alarmieren sowie einen Audit-Log bieten wird. Die EE-Version soll laut Hersteller noch im Februar 2017 auf den Markt kommen. LE wird pro Installation lizenziert, EE pro Controller beziehungsweise Cluster-Knoten für Clustered Data Ontap.

Cleondris, gegründet 2006 und mit Hauptsitz in Zürich, ist vor allem bekannt als Hersteller der Backup- und Restore-Lösung Cleondris Data Manager (CDM). Weitere Informationen finden sich unter www.cleondris.ch.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.